Grafana Patches CVSS 10.0 SCIM Flaw Enabling Impersonation and Privilege Escalation
2025/11/21 TheHackerNews — Grafana がリリースしたのは、特定のコンフィグ下で権限昇格やユーザーなりすましを許す可能性がある、深刻なセキュリティ脆弱性 CVE-2025-41115 に対処するアップデートである。この脆弱性は、CVSS スコア 10.0 と評価されており、ユーザー・プロビジョニングの自動化と管理を可能にする System for Cross-domain Identity Management (SCIM) コンポーネントに存在する。なお、SCIM は 2025年4月に導入され、現在はパブリック・プレビュー段階にある。
Grafana の Vardan Torosyan は、「SCIM プロビジョニングが有効化されている Grafana バージョン 12.x には、ユーザー ID 処理に脆弱性が存在する。それを悪用する、悪意あるいは侵害済みの SCIM クライアントが、外部 ID を悪用してユーザーをプロビジョニングする可能性がある。これにより内部ユーザー ID が上書きされ、なりすましや権限昇格につながる可能性がある」と述べている。
ただし、このエクスプロイトを成功させる前提として、以下の2つの条件を満たす必要がある。
- enableSCIM 機能フラグが “true” に設定されている。
- [auth.scim] ブロック内の user_sync_enabled コンフィグ・オプションが “true” に設定されている。
この脆弱性が影響を及ぼす範囲は、Grafana Enterprise のバージョン 12.0.0~12.2.1 である。それに対する修正は、以下のソフトウェア・バージョンに含まれている。
- Grafana Enterprise 12.0.6+security-01
- Grafana Enterprise 12.1.3+security-01
- Grafana Enterprise 12.2.1+security-01
- Grafana Enterprise 12.3.0
Vardan Torosyan は、「Grafana は SCIM の externalId を内部の user.uid に直接マッピングするため、数値 (例: ‘1’) が内部の数値ユーザー ID として解釈される可能性がある。この処理方式により、特定のケースでは、新規にプロビジョニングされたユーザーが既存の内部アカウント (例: 管理者) として扱われ、なりすましや権限昇格につながる可能性がある」と述べている。
Grafana によると、この脆弱性は 2025年11月4日の内部監査とテストの最中に発見されたとのことだ。ユーザーに対して強く推奨されるのは、問題の深刻度を考慮し、パッチを速やかに適用し、潜在的なリスクを軽減することである。
Grafana の SCIM 機能におけるユーザー ID の扱い方に欠陥があり、特定の設定が有効化されている場合に、外部から渡された ID が内部ユーザーの ID と誤って一致してしまうという問題が生じるとされます。そのため、悪意あるクライアントが管理者など既存ユーザーになりすます可能性が生じています。SCIM はプロビジョニングを自動化する便利な仕組みですが、その内部 ID との結びつき方に注意が必要だと、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、Grafana での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.